Astrill VPN曾被朝鲜IT冒牌员工用来躲避审查,这种行为在2025年8月被LevelBlue SpiderLabs的Tue Luu发现。为了获取敏感数据,攻击者往往冒充中国员工入职,而XDR方案可以区分出非公司授权的VPN设备。Salesforce系统被此类人员用来处理数据的案例比比皆是,仅在美国就有超过2.5亿的损失。 攻击从周五开始,通过远程招聘的方式让攻击者拿到处理权限。周三,Cybereason XDR系统建立了行为基线;到了周四,CISO注意到异常的登录模式。在10天的试用期内,系统标记了可疑的登录模式,这被证明是朝鲜IT冒牌员工惯用的伎俩。LevelBlue SpiderLabs威胁情报系统随后证实,这家企业无意间雇佣了一名恶意人员。 IT管理员在激活新员工的EntraID账户时,发现了一个明显的破绽:使用德克萨斯州达拉斯的IP地址登录,而不是通常的中国区域。设备未受管控、IP归属朝鲜IT人员常用的Astrill VPN等细节拼凑在一起,形成了多维度的可疑证据。这些多重迹象与统计异常的叠加,最终帮助团队锁定了威胁。 攻击实施细节还显示,这类攻击者常从中国而非朝鲜操作设备。Astrill VPN能突破中国防火墙,通过美国出口节点伪装成合法国内员工。已知Astrill VPN IP范围的认证事件即构成高置信度入侵指标。IAM身份与访问管理无法单独识别冒牌IT人员,发现朝鲜内鬼需要整合多重信号。CISO应确保入职流程健全并定期审查,明确环境中的'正常'软件并制定标准。 IT管理员应启用EntraID条件访问策略限制登录区域。本案客户事发前未激活该策略,事后根据Cybereason建议进行了配置。除了Astrill VPN的异常使用外,权限渐进策略也很关键。对高风险雇佣逐步提升权限可以降低风险。同时关注特定地区非工作时间的登录或操作行为也很重要。朝鲜关联内鬼的典型特征还包括窃取敏感数据、源代码、商业机密及知识产权。据估算,朝鲜远程工作者计划已渗透全球数百家企业,年均创收5亿美元。 当管理员激活新员工EntraID账户时,团队发现其使用德克萨斯州达拉斯IP登录(偏离其常用中国区域)。5亿美元的经济损失让人们意识到了问题的严重性。最终通过地理位置异常、非托管设备访问及威胁情报关联锁定了威胁。Luu指出:"这种威胁很少通过单一指标判定,而是多重可疑迹象与统计异常的综合结果。" 2025年8月发生的这起事件提醒我们:尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。据Luu估算,朝鲜远程工作者计划已渗透全球数百家企业。 这次事件的时间线是这样的:攻击者在周五通过远程员工招聘入职并处理Salesforce数据。周一撤销账户并启动深入调查后发现并无残留痕迹。这归功于快速检测机制和XDR行为分析系统的功劳。SpiderLabs报告显示某疑似朝鲜关联人员通过安全审查后被雇佣处理数据。 值得注意的是,即便IT系统足够先进也难以单独应对这类威胁。Luu建议可采取权限渐进策略给高风险雇佣提升权限。同时关注特定地区非工作时间的登录或操作行为也很重要。CISO应确保入职流程健全并定期审查以避免类似事件再次发生。